Vídeo: VEJA Como HACKERS INVADEM UM CELULAR Dicas DE COMO SE PROTEGER (Novembro 2024)
O aplicativo de mensagens Viber vem ganhando força no Google Play, mas uma nova exploração pode fazer com que os usuários parem. Apenas alguns dias atrás, a empresa de segurança Bkav anunciou que encontrou uma maneira de obter acesso total aos telefones Android usando o popular aplicativo de mensagens Viber.
Ao contrário do problema da tela de bloqueio da Samsung que relatamos anteriormente, esse ataque não exige nenhum trabalho sofisticado dos dedos. Em vez disso, basta dois telefones, ambos executando o Viber e um número de telefone.
Aqui está como isso funciona. O telefone da vítima está bloqueado, mas o Viber está instalado e configurado. O telefone do invasor envia uma mensagem para a vítima, que abre uma janela de alerta na tela de bloqueio. Um dos recursos exclusivos do Viber é que você pode responder mesmo enquanto o telefone está bloqueado, e ativar o teclado Viber é o próximo passo no ataque.
Depois que o teclado está ativo no telefone da vítima, o atacante envia outra mensagem. Dessa vez, pressione o botão Voltar no telefone da vítima e, de repente, você terá acesso total ao telefone da vítima.
Segundo Bkav, o problema decorre da maneira como o Viber interage com a tela de bloqueio do Android. O diretor da divisão de segurança da BKav, Nguyen Minh Duc, explicou no site da empresa: "a maneira como o Viber lida com pop-up de mensagens na tela de bloqueio dos smartphones é incomum, resultando em sua falha no controle da lógica de programação, fazendo com que a falha apareça".
Bkav escreve que entraram em contato com a Viber sobre o problema, mas não receberam uma resposta. Até o momento, o feed do Twitter e as contas do Facebook do Viber ficaram em silêncio por mais de um dia.
O Bkav tem vários vídeos da exploração em ação em seu site.
Quão perigoso é este?
Embora seja chocante ver a tela de bloqueio do Android ser facilmente contornada, a realidade é que essa exploração requer duas coisas que a maioria dos atacantes não possui. Primeiro, eles precisariam de acesso físico ao seu telefone. Sem o seu telefone, não importaria se estava bloqueado ou desbloqueado, pois o atacante não podia fazer nada.
Segundo, um invasor precisa ter as informações do usuário do Viber para enviar uma mensagem. Mesmo que seu telefone tenha sido roubado e o invasor saiba que você é um usuário do Viber, ele ainda precisará enviar uma mensagem ao seu telefone específico.
Esses dois fatores limitam bastante o potencial grupo de atacantes, sem mencionar o fato de que existem milhões de usuários do Android e apenas alguns usam o Viber. Como a maioria dessas explorações, ela representa pouca ameaça para a maioria dos usuários.
Na minha opinião, o perigo real aqui é que os desenvolvedores do Viber não sabiam ou não se importavam com a exploração do aplicativo - e certamente não estão sozinhos nisso. Embora seja difícil ter garantia de qualidade total para qualquer aplicativo, principalmente para desenvolvedores do Android que consideram inúmeras variações de hardware e sistema operacional, os desenvolvedores ainda precisam ter em mente a segurança quando empurram seus aplicativos.
Atualizar:
Talmon Marco, proprietário da Viber, escreveu em nossa seção de comentários que a empresa está levando essas preocupações muito a sério.
"Na verdade, nós nos preocupamos com esse problema. Investimos recursos significativos para garantir que o serviço Viber seja seguro e estamos bastante desapontados com esse bug. No momento, estamos pesquisando isso e emitirá uma correção na próxima semana (queremos garantir que não estão quebrando nada no processo de corrigir isso) ".
Em uma conversa por e-mail nesta manhã, Marco disse ao SecurityWatch que um patch estaria disponível no site do Viber ainda hoje. Uma atualização completa por meio do Google Play estará disponível em uma data futura.
Atualização 2:
O Viber nos informou que o APK corrigido está disponível para download.